보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

인공지능과 사이버 보안, 지금 중대한 갈림길에 서 있다

입력 : 2024-02-16 01:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
생성형 인공지능의 잠재력을 공격자들은 이미 활발히 탐구하고 있다. 우리도 같은 탐구력을 발휘해야 한다. 방향이 살짝 달라져야 하겠지만.

[보안뉴스 = 맨디 안드레스 CISO, Elastic] 사이버 보안은 늘 사고치는 자들과 수습하는 자들 사이의 술래잡기 게임과 같은 구도로 흘러왔다. 그런 상황에서 인공지능이라는 강력한 기술이 끼어들면서 이 술래잡기의 굴레는 더 격렬하고 숨가쁘게 흘러갈 것으로 예상된다. 어느 쪽이 인공지능을 더 효과적으로 활용하여 그 잠재력을 최대치로 이끌어내느냐에 따라 한동안 승패가 갈릴 것이 분명하다.

[이미지 = gettyimagesbank]


사이버 공격, 그 어느 때보다 고도화 되고 있어
일단 공격자 측에서는 인공지능, 그 중에서도 생성형 인공지능이라는 기술을 자신들의 사업에 활용하는 데에 전혀 거리낌이 없다. 특히 피싱 공격에 필요한 텍스트를 매끄럽게 만드는 데 있어 생성형 인공지능의 역할이 점점 커지는 중이다. 공격자들은 문법과 철자에 오류가 없는 매끄러운 작문을 할 수 있게 됐다. 피싱 공격을 구분하는 첫 번째 장치들이 사라지게 된 것이다.

공격자들은 여기에 만족하지 않았다. 그리고 한 발 더 나아갔다. 생성형 인공지능 모델의 프롬프트를 보다 자유롭게 구사하기 시작한 것이다. 단순히 오류 없는 텍스트를 작성하는 것을 넘어, 특정 인물의 말투를 따라하거나 문체를 본따기도 했다. 포춘 500대 기업의 공식 문서의 느낌을 내게 하거나, 특정 임원진의 글 버릇을 흉내 내라는 명령을 내리면 인공지능이 꽤 괜찮은 결과물을 낸다는 것을 알아챈 것이다. 심지어 ‘C레벨의 매너리즘을 담아내라’는 요청도 구현할 정도다. 그럼으로써 피싱 공격은 이전보다 훨씬 정교해지고 다양해지고 있다.

아예 양지의 GPT 기술을 가져다가 음지의 GPT 기술로 변환시키는 사례도 이미 여럿 존재한다. 우리가 챗GPT를 사용하듯 ‘범죄 전문 챗GPT’를 고안해낸 것이다. 그 중 하나가 다크GPT(DarkGPT)다. 이 도구를 이용하면 다크웹의 모든 곳을 탐험해 정보와 자원을 찾아내거나 구할 수 있게 되며, 악성 공격을 기획하고 준비하는 시간이 줄어든다고 한다. 사기GPT(FraudGPT)라는 것도 있다. 사이버 범죄자들은 이것을 이용하여 악성 코드와 바이러스를 보다 빠르고 쉽게 개발할 수 있게 된다. 완벽하진 않지만 조금만 손보면 쓸만한 결과물이 나온다. 처음부터 사람이 직접 개발하는 것보다 훨씬 쉽다.

이런 모든 것들이 결국에는 불법 행위라는 것의 난이도를 낮춰준다는 효과를 낸다. 범죄로의 진입 장벽이 낮아지는 것으로, 의도하지는 않았어도 인공지능이 발전하면 할수록 이 진입 장벽이라는 것은 점점 사라지다시피 할 것이다. 그렇다면 우리에게는 희망이 없을까? 아니다. 우리도 똑같이 챗GPT나 여러 생성형 인공지능 도구들을 활용해 맞설 수 있다.

맥락이 중요하다
위에서 다크GPT와 사기GPT가 공격의 효율을 높여준다고 했다. 마찬가지로 방어자인 우리도 양지의 GPT를 활용해 여러 자원을 빠르게 수집함으로써 방어의 효율을 높일 수 있다. 특히 ‘맥락적 정보’를 수집하여 분석하는 속도를 높일 수 있다면 여러 잠재적 위협들을 피해가고 공격을 예방하는 데에 매우 큰 힘을 얻게 된다. 사건이 발생했을 때 대응의 효과를 높이는 데에도 맥락 정보는 도움이 된다.

왜 그렇게 되는 걸까? 예를 들어 보안 담당자가 자신이 맡은 환경에서 비정상적인 행동 패턴을 발견했다고 하자. 그런데 그런 현상을 어떻게 해석하고, 어느 방향으로 추적을 해나가야 하는지 판단이 서지 않는 경우가 현장에는 많다. 단순 실수를 의심해야 하는지, 외부인의 공격을 모니터링해야 하는지, 내부에서 새로운 사업이 벌어지고 있는 건지 판단을 해야 다음 단계를 밟아나갈 수 있는데, 단순 비정상 패턴 하나만 보고는 그게 쉽지 않다. 정답은 그 모든 가능성을 다 탐색하는 것이다. 문제는 그럴 시간이 없다는 것이다. 그럴 때 생성형 인공지능을 활용하면 모든 가능성을 빠르게 탐색함으로써 시간도 아끼고 보안도 강화할 수 있다. 인공지능을 가지고 있다면, 맥락에 좀 더 집중해야 한다.

전체 그림도 중요하다
여태까지 보안은 한 번에 하나의 시스템이나 장비, 서비스에 집중했다. A라는 컴퓨터에서 비정상 행위가 나타났다고 한다면 그 컴퓨터를 따로 분리해 가 점검하는 식이었다. 기술과 시간의 제약이 분명한 상황에서, 그렇게 움직일 수밖에 없었다. 같은 망에 연결되어 있던 다른 장비들, 아니 그 망 전체를 신속하게 확인할 방법이 없었다. 유일한 방법이 한 번에 하나씩 점검하는 것이었다. 그 장비나 서비스들이 어떻게 상호작용을 하고 평소 어떤 식으로 작동하는지까지 고려하는 건 무리였다. 그러니 환경에 대해 정확히 파악하는 게 되지 않았다.

이럴 때 생성형 인공지능을 활용한다면 시간을 꽤 단축시킬 수 있게 된다. 하나하나 살피는 것도, 각 장비들의 상호작용까지 알아보는 것도 수작업에 비해 훨씬 빠르게 된다. 즉 전체 망을 아우르는 가시성을 확보하는 게 그리 어려운 일이 아니게 되는 것이다. 현대 사이버 공간이 얼마나 복잡하게 구성되어 있는지 알고 있다면, 가시성 확보라는 게 엄두도 나지 않는 게 정상이다. 생성형 인공지능이 등장한 게 얼마나 다행인지 모른다.

한 발 더 나아가보자. 생성형 인공지능을 가지고 가시성을 확보할 수 있는 게 보안 담당자나 CISO만일까? 여러 맥락 정보들을 취합해 내가 속한 환경을 투명하게 들여다보는 게 보안 관계자들만의 특권일까? 아니다. 누구나 마음만 먹으면 이런 정보들을 손에 넣고 보안 상황을 관찰할 수 있게 된다. 보안에 대한 참여도를 획기적으로 높일 만한 계기가 될 수 있다는 뜻이다. 모두가 모니터링을 하는 망 안에서 공격자가 숨어 있을 만한 공간은 좁아질 수밖에 없다.

긍정의 이유는 충분하다
1900년대 초반, 자동차라는 신기한 물건이 점점 많은 사람들에게 보급되기 시작했을 때 거리에는 빨간 깃발을 들고 다니는 사람들을 흔히 볼 수 있었다. 저 멀리서 자동차로 보이는 뭔가가 접근하는 걸 먼저 본 사람이 깃발을 들어 행인들에게 주의하라고 경고하기 위해서였다. 그 누구도 시키지 않았는데, 시민들이 자발적으로 그러한 관습을 만들어 서로의 안전을 지켰다. 지금이야 재미있는 옛날이야기에 불과하지만, 그런 과정이 있기에 지금의 자동차 시대가 있는 것이다.

인공지능이라는 신기술에 대해서도 이런 식의 통합적인 대처가 가능하다고 생각한다. 인공지능이 위험한 모습을 보일 때, 누군가 먼저 깃발을 들어 경고하고, 그 깃발을 본 모두가 주의하여 위기를 넘기는 식으로 우리는 인공지능을 안전한 도구로 정착시킬 수 있다. 사실, 공격자들은 이미 그렇게 하고 있다. 그들은 챗GPT가 처음 나왔을 때 이미 각종 해킹 기법을 활발히 공유했었다. 힘을 합해 더 나은 해킹 도구로 가다듬어가는 중이라고 할 수 있다. 우리도 같은 방식으로 대응해야 하지 않을까.

글 : 맨디 안드레스(Mandy Andress), CISO, Elastic
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)